"Bug Bounty Programm" in der Kritik
Sicherheitsforscher kritisieren Apples Umgang mit gemeldeten Sicherheitslücken
Die Washington Post lässt Apple in einem Bericht über den Umgang mit gemeldeten Sicherheitslücken schlecht dastehen. Die Vorwürfe wiegen schwer, so behebe Apple gemeldete Fehler nicht nur langsam, sondern zahle den Sicherheitsforschern auch nicht immer das, was ihnen ihrer Meinung nach zusteht. Untermauert werden die Anschuldigungen durch Aussagen von Betroffenen und mit der Angelegenheit vertrauten Personen.
Nach einem zögerlichen Start vor fünf Jahren hat Apple im Jahr 2019 angekündigt, für entdeckte und gemeldete Sicherheitslücken bis zu einer Million Dollar auszuzahlen. In der Branche kennt man dergleichen unter der Bezeichnung Bug-Bounty-Programm. Üppige Prämien sollen Sicherheitsforscher und Hacker dazu verleiten, ihr Wissen über Schwachstellen mit dem Hersteller zu teilen, anstelle die Sicherheitslücken auf dem Schwarzmarkt anzubieten.
Apples Bug-Bounty-Prämien (Bild: Lorenzo Franceschi-Bicchierai)
Apple sah sich lange Zeit in der Kritik, hier zu wenig Anreize zu schaffen und in der Folge die eigenen Kunden zu gefährden. Auf dem Schwarzmarkt angebotene Schwachstellen bilden häufig die Grundlage für Malware oder werden gar für Spionage-Tools verwendet.
Die Washington Post hat nun mehr als zwei Dutzend Sicherheitsforscher zum Thema befragt. In den Interviews kommt Apple nicht zuletzt auch aufgrund seiner Geheimhaltungspolitik verglichen mit der Konkurrenz schlecht weg. Während Firmen wie Facebook, Microsoft oder Google aktiv über ihre Anstrengungen und Angebote in diesem Bereich informieren und nicht nur lobenswerte Worte für die partizipierenden Sicherheitsforscher finden, sondern auch konkret über die ausgezahlten Prämien informieren, herrscht bei Apple Funkstille.
Doch Apple sieht sich darüber hinaus mit ernst zu nehmenden Vorwürfen konfrontiert. So sei das Unternehmen mit Blick auf die Behebung von Sicherheitslücken massiv im Rückstand. Dies bestätigen Apple-Mitarbeiter ebenso wie die Fehler meldende Sicherheitsforscher. Selbst akute und gefährliche Schwachstellen würden teils über Monate hinweg nicht korrigiert. Ein Sicherheitsforscher wurde sogar aus Apples Entwicklerprogramm geworfen, nachdem er weil Apple einen von ihm gemeldeten Fehler über Monate hinweg nicht korrigiert hat, Informationen dazu veröffentlicht hatte.
Nimmt man dann noch zur Kenntnis, dass etliche der Entdecker solcher Schwachstellen von Apple gar keine oder nur deutlich unter den in Aussicht gestellten Summen liegende Belohnungen erhalten, verwundert es nicht, dass sich einige der Experten nach anderen Einnahmequellen umsehen. Auf dem Schwarzmarkt wechseln solche Informationen für ein Vielfaches mehr den Besitzer.
Apple kann – zumindest wenn man das Statement des Herstellers gegenüber der Washington Post betrachtet – die Kritik nicht ansatzweise nachvollziehen. Ivan Krstić, der Leiter von Apples Abteilung für „Security Engineering and Architecture“,sieht das Bug Bounty Programm als vollen Erfolg. Apple habe den Betrag, der in diesem Jahr gezahlt wurde, im Vergleich zum Vorjahr fast verdoppelt und sei branchenweit führend, was den durchschnittlichen Betrag pro Bounty angeht.